Аудит безопасности InstantCMS 1.10

Если в планах Администрации переход на новую усовершенствованнную систему то
лучше тестировать её, однако при создании или подключении новых модулей (компонентов) неисключен взлом именно от туда, а не с самого ядра в его "голом" состоянии.
Посему:
Лучше тестировать новую систему и хотя бы после 1-2 релизов, так будет больше возможности для для поиска дыр, чем на её начальной стадии.
А 191 оставить как есть.
Но это мое мнение — может кто выскажет своё?

Хотел бы предложить сообществу.
Тут у нас есть профи(кодеры) хоть и не спецы в безопасности, но многое знают про ЭТО.
так вот.идея.
Как вы считаете стоит ли платным компонентам присваивать "шкалу безопасности" по 10 бальной системе.
10 балов, это когда компонент прошел тест на безопасность у спецов-хакеров.
7 баллов когда сторонние кодеры(одобренные разработчиками инстанта) протестировали.
5 баллов когда разработчик сам сделал все возможное по этой части

Лично мне идея понравилась, на счет балов.
Таким образом пользователь сам будет вправе решать ставить ему стороннюю разработку или нет.

10 балов, это когда компонент прошел тест на безопасность у спецов-хакеров.
7 баллов когда сторонние кодеры(одобренные разработчиками инстанта) протестировали.
5 баллов когда разработчик сам сделал все возможное по этой части

Мысли вслух: если например кто то умышленно предлагает, заранее, спланированную разработку с дырой для себя, сколько он себе баллов поставит?

10 балов, это когда компонент прошел тест на безопасность у спецов-хакеров.

А кто будет платить за аудит спецам?
Проще тогда всем ставить 5 баллов, Хочешь ставь, хочешь нет...
Получится все то же самое.

Лучше тестировать новую систему и хотя бы после 1-2 релизов, так будет больше возможности для для поиска дыр, чем на её начальной стадии.
А 191 оставить как есть.

1.9.1 это реальное настоящее, которое вот уже на подходе...
А 2.0 это как коммунизм "скоро настанет" тогда и вопрос поднимать надо будет.

До "коммунизма" — версии 2,0 мы точно доживем и будем жить, а вот версия 191 пролетит и все.
Тестеры потестят ну найдет пару дыр, ну залатаю их и все, наэтом и останемся.

Я за будующее хоть оно и нескоро настанет.

Это как пенсия — вроде далеко, а если посмотреть с другой стороны…

Но это мое мнение — может кто выскажет своё?

Мое мнение такое, когда наберется необходимая сумма, проведем голосование среди инвесторов и решим какую версию проверять… может уже 3 версия будет на подходе…

а вот версия 191 пролетит и все.

Скорей всего у кого не очень громоздкий проект будут стараться перебраться на неё, именно потому что она планируется быть более стабильной как я понял. чем текущая. И аудит поможет сделать её более стабильной.

А все что касается 2.0… Её пока нет, так какой смысл об этом говорить? Будет хотя бы бета, тогда и надо поднимать тему. А так можно сказать "давайте будем на 3.0 собирать, она будет еще лучше чем 2.0..."

Тестеры потестят ну найдет пару дыр, ну залатаю их и все, наэтом и останемся.

Я хотел бы надеяться, что вообще не найдут, а уж если аш две… то тогда точно не зря собираем.

Я за будующее хоть оно и нескоро настанет.

Я то же. Только не за то которое когда то наступит, а за то что уже требует конкретных действий.
А на сегодня от нас всех нужно только помочь посильно проекту в конкретном деле.

Это как пенсия — вроде далеко, а если посмотреть с другой стороны......

Это я то же понял, За 1.9.1 нужно платить сегодня и сейчас. Я за 2.0 "может быть, когда нибуть".

а может лучше сюда голосовалку добавит
кто за 1,9,1
а кто за 2,0

Лично я за тест безопасности 1.9 и в крайнем случае 1.9.1. Многие останутся на 1.9, потому что слишком много вложено в сайты, а 2.0 уже идёт с учётом всех предыдущих дыр.

lezginka.ru, Azura

Итак, чтобы всем стало яснее: тестироваться будет 1.9.1. И закрытие уязвимостей (если таковые найдутся) будет именно для нее. перечислить можно на счет, указанный выше.

Все никак не пойму к чему этот вопрос подымают о несуществующей 2.0 ( ну, не совсем конечно несуществующей, но и не до такой степени пока, что надо задумываться об аудите))

Соберем для того для чего сейчас нужно… Если начинание будет удачным, то можно для каждого релиза который будет на подходе делать копилку.

ЗЫ: Цена озвучена для какой версии то же. А все разговоры про другие версии только сбивает народ с толку…

как я уже писал выше — 1.9.1 скорее всего будет не 1.9.1, а перерастёт в 1.10 — на сколько я понимаю разработчиков — 1.9.1 будет содержать, точнее наоборот не будет содержать уязвимости в ядре. то есть это версия 1.9 с закрытыми дырами — а вот уже с переписанными компонентами и прочим — это следующая версия, которая будет скорей всего 1.10 (мною была предложена именно эта идея с номером версии и она понравилась fuze на сколько я понял, но так ли он сделает — решать ему)

где то тут читал — вроде так

первая цифра это версия разработки (ветка)
вторая цифра меняется когда происходят значительные изменения в самом ядре или в стандартных компонентах
третья цифра меняется когда происходят незначительные доработки — чаще всего закрытие выявленных дыр и уязвимостей

то есть это версия 1.9 с закрытыми дырами

А что в 1.9 есть дыры чтоли? Вы прежде чем писать задумайтесь о силе слова.

Я бы сказал, что 1.9.1 улучшенная версия, следующее обновление ветки Инстанта 1.х, но писать о закрытых дырах, особенно для тех кто не занимается сайтами посещаемыми, как то не слишком ли неправильно? В последнее время вижу какую то истерию о дырах, которые никто не может показать. К чему это?

А что в 1.9 есть дыры чтоли? Вы прежде чем писать задумайтесь о силе слова.

ну не знаю как правильно назвать, да и спорить не буду — но наверное всё таки дыры, через которые как и у меня на сайте, так и у других тут пользователей инстанты появлялись неизвестные файлы в папках сайта (это только один из случаев привёл). не уязвимость ли ???

Из за огромного кол-ва изменений будет следующей версией 1.10